1、中国人口与发展研究中心 信息系统 安全 服务技术要求 指标项 技术规格要求 服务项目 内容 安全巡检服务 针对各类安全系统设备 定期进行安全巡检,监视安全设备运行状态,包括网络数据流量、关键设备内存和 CPU 使用情况、硬盘容量情况、病毒日志情况、安全产品日志和事件告警情况等数据。 安全评估服务 针对各类核心服务器主机、应用服务系统、数据库系统、网络设备的漏洞扫描评估、人工安全审计等定期的安全服务。 安全加固服务 针对各类核心服务器主机、应用服务系统、数据库系统、网络设备的安全加固配置等的安全服务。 安全通告服务 提 供及时的、针对性的各类安全信息,帮助维护人员及时的了解最新安全动态,以便于及
2、时地做好安全调整,完善安全保护措施。 应急响应服务 对突发的安全事件进行应急处理,包括应急响应、 应急恢复 、入侵追踪等服务。 安全咨询服务 提供网络安全策略、安全管理、安全规划提供的顾问咨询建议。 安全培训服务 进行针对性地安全培训,不断提高 各类 人员的安全意识和安全技能。 安全服务 要求 安全巡检服务 在合同周期内,服务提供商应安排专人, 每周 不少于 2 次现场 进行安全系统巡检; 每月对巡检的情况进行汇总并形成安全巡检月度报告; 服务提供商应说明具体巡检频率。 安全评估服务 应至少每季度对信息系统进行安全风险评估,并建立与之配套的安 全评估策略,实现对网络平台的安全风险评估,及时发现
3、网络与信息系统中存在的安全隐患,同时,形成信息安全风险综合评估季度报告,并提出系统安全加固建议; 安全服务 要求 评估的范围应全面,涉及到网络信息系统的各个方面,包括物理环境、网络结构、服务器及网络设备的安全性、安全产品和技术的应用状况以及管理体系是否完善等等,以全面了解安全状态; 评估过程应综合运用各种手段,通过技术测试、调查等多种途径获取信息并 进行审计分析,以切实发现网络信息系统中存在的各类问题和隐患; 每次评估前须提交评估方案,经确认后方可实施。评估完成后须提交全面的风险评估和脆弱性分析报告,并对发现的问题提出切实可行的解决方案; 评估的过程不能影响各项业务的正常进行,请给出全面评估过
4、程中的风险规 避方案; 服务提供商应说明具体 评估 服务频率。 安全加固服务 加固的对象应覆盖所有服务器和网络设备,对不同类别的操作系统和应用平台应分别提供加固计划; 加固的手段应包括但不限于安装补丁程序、对系统进行优化配置; 加固工作不能影响各项业务的正常进行,如 果加固过程需要暂时中断业务,投标方须设计具体的解决方案,并选择适当时机进行操作; 随着技术的发展,当新的漏洞出现时,投标方有责任和义务告知,由用户决定是否进行相应的加固工作; 每次对网络信息系统进行全面评估后应安排一次加固服务,另外用户有紧急需求时可随时安排加固工作。 安全通告服务 定期发布最新的安全技术动态等消息; 随时发布最新
5、公布的安全漏洞等重要消息,如有重大安全漏洞出现应能在第一时间告知,并提供相应的解决手段; 通告信息可定制,可以根据用户的要求选择相应的信息类别; 安全通告服务的频率应不低于每周 一次。 应急响应服务 投标方提供的应急响应服务应包括远程应急响应和本地应急响应; 安全服务 要求 投标方具备成熟的应急响应流程和团队,在接到应急响应请求时能够迅速启 动响应预案; 远程应急响应要求在响应请求发出 1 小时内指派工程师进行处理,无论能否解决问题每天必须反馈处理情况简报,直到此次响应服务结束; 本地应急响应要求在响应请求发出 2 小时内由工程师到达事故现场,协助运维人员进行处理; 响应服务完成后投标方需整理
6、详细的事故处理报告,内容至少包括事故原因分析、已造成的影响、处理办法、处理结果、预防和改进建议; 远程应急响应和本地应急响应均要求 7 24 小时提供 ; 遇国家 发生重大事件期间,应 根据 用户方要求, 须提供 5 8 驻场值 守服务 ; 制定文档化的明确的信息系统的应急计划和响应策略; 制定明确的数据存储和备份策略,提出方案供用户选择。 安全咨询服务 协助制订完整、切合实际、具有前瞻性的信息安全策略,作为指导网络信息系统安全运维的基本纲领; 安全策略是动态的、复杂的程序、过程和方法。只有当一组规 则和指导原则被遵循的时候,它们才是有用的。投标方需协助建立专门负责安全事务管理的组织机构来制订
7、、落实并监督所制定的安全策略; 协助确定安全管理体系的层次及建立方式,明确各层次在安全管理体系中的职责; 协助制订一套全面的安全管理制度,涉及网络信息系统的各个方面,在一个总体纲要的指导下解决各方面的问题,形成完整的体系,而非局限于单独一个标准或纲要; 协助为网络信息系统的日常运维工作建立一套切实可行的技术规范和流程,以规范运维过程中的操作行为; 协助建立具有高可操作性的考核体系,以加强安全策略及各项管理制度的可落 实性; 协助制订切实可用的安全应急预案体系,为用户的应急响应工作提供规范性指导; 及时响应各用户的各类安全咨询请求,如安全规章制度咨询、特定安全标准的制定、灾难恢复计划咨询等,并协
8、助设计安全保障体系后期建设的具体方案。 安全培训服务 安全意识教育培训, 全年至少提供 1 次全员信息安全意识教育培训 ; 安全技能教育培训, 针对系统运维人员, 全年至少提供 4 次 安全技能业务培训。 一、 服务提供商资质要求 : 1、 投标人必须具有中国信息安全 测评 中心颁发的信息安全服务资质( 安全工程类 二级); 2、 投标人必须具有 中国信息安全认证中 心 颁发的信息安全风险评估服务资质(一级) ; 3、 投标人必须具有中国信息安全认证中心颁发的 信息安全应急处理服务资质一级。 4、 投标人 必须具有国家保密局颁发的 涉密信息系统集成 资质。 5、 现有安全设备 北京 中软华泰
9、信息技术有限责任公司 、网神信息技术(北京)股份有限公司、吉大正元信息技术股份有限公司、 北京天融信科技有限公司 、 北京神州绿盟信息安全科技股份有限公司 中三家以上售后服务支持证明。 二、 竞价 时 须 上传 提交 的资质 文档 : 1、 中国信息安全 测评认证中心颁发的信息安全服务资质( 安全工程类 二级 )证书 ; 2、 中国信息安全认证中心颁发的信息安全风险 评估服务资质(一级)证书 和 信息安全应急处理服务资质 ( 一 ) 级 证书 ; 3、 中国信息安全认证中心颁发的信息安全风险评估服务资质(一级); 4、 国家保密局颁发的 涉密信息系统集成 资质 ; 5、 现有安全设备 北京 中软华泰 信息技术有限责任公司 、网神信息技术(北京)股份有限公司、吉大正元信息技术股份有限公司、 北京天融信科技有限公司 、 北京神州绿盟信息安全科技股份有限公司 中三家以上售后服务支持证明。
